解决方案

威视科技建设某煤炭公司网络安全案例

日期:2015/6/28来源: IT猫扑网

随着社会的不断发展进步和信息化水平的不断提高,企业的信息安全建设作为保障生产的一个重要组成部分,越来越多地被企业所重视并提上议事日程

  北京威视科技作为网络安全界的后起之秀,专注于为政府、企业提供应用系统的信息安全全面解决方案的设计和实施,并向广大用户提供安全技术咨询和服务。威视科技公司倡导为客户提供3G(Gate门,Guard警卫,Gun武器)的网络安全防御体系。

  经过公司各方努力,威视科技已经成功的与包括能源、政府等多个行业进行了深入的合作,并积累了丰富的行业经验。以下是某能源行业客户的实际应用案例,由此也体现了威视科技——网络安全管家经营理念。

  国内煤炭行业某大型国有集团公司,随着业务需求的进一步扩展,原有的网络及系统平台已经不能满足要求,因此必须从保障业务系统高效、稳定和安全的运行等方面,升级优化现有系统。经过多方考证与筛选,该集团公司选择了威视科技作为其网络安全整体解决方案提供商。

  该集团信息系统基础设施包括广域网、局域网和互联网三个部分。广域网是承载该集团及各个子公司内部业务的核心平台,局域网在该集团和各个子公司中是本地业务应用的底层建筑,而互联网是该集团和世界互联的大舞台。

  该集团大厦的广域网接入区块经过金财工程建设得到全面、规范化的设计,具备良好的可扩展性,只要根据业务增长的需要扩展带宽和网络硬件设备即可满足要求。而该集团大厦的网络及系统平台包括局域网及互联网两个部分,如何在升级中确保系统安全性的同时,又兼顾高效性和稳定性,是升级优化的关键所在。

  用户现状

  该集团局域网于2000年建成并投入运行,两台核心交换机Catalyst 6509、Catalyst 6006分别设在两个房间。以千兆下联20多台设在各楼层的网络交换机,其中有Cisco Catalyst 3524XL/3550系列20台,Cisco Catalyst 2950系列5台; 该集团本部与各主要子公司通过CISCO7401(该集团广域网的主路由器)互联。目前主要的管理信息系统包括EAM系统、财务系统、生产调度系统、办公自动化系统和生产调度监视系统等。这些关键系统同时运行在该集团统一的广域网平台之上,系统之间存在业务逻辑交叉和数据交换,因此系统的安全具有很大的关联性,特别是对于互联网(Internet)、集团广域网、金财专网系统接入的安全需要特别的关注。

  目前,该集团信息网站与内网信息系统混合在一起,网络互连均在一个VLAN中,局域网中心通过一台Cisco Catalyst 6509核心交换机连接各个楼层交换机,同时从科技与信息中心的机房引出一个交换机作为信息后平台和信息前平台的共用设备。

  Internet接入边界有最基本的安全设备,东大阿尔派的软件防火墙,内存利用率基本在99%左右,没有流畅的信息流线路。同时,在边界还有清华紫光的VPN设备,其设计安装位置不太合理。

  集团及其子公司的广域网系统属于典型的自然生长型网络,缺乏从集团角度的统一规划;由于历史原因,子公司各自拥有相对独立的IT系统及管理人员,资源未得到充分共享;对整个集团IT资产状况不十分清楚;对网络系统缺乏实时监视管理及整体控制。

  集团互联网应用包括WWW和FTP服务,目前开设了内部和外部两个站点及内外共用该集团邮件系统。集团邮件系统用户已有近700多人,邮件总容量已超过10GB。而集团的信息网站,至今已经运行了4年的时间。由于原来系统设计规模较小,信息技术的飞速发展,现有硬件(服务器、部分网络设备、安全设备)已基本老化,信息系统硬件平台急需更新换代。同时从网络的前、后两个平台更新信息的来源和渠道,并更新信息发布系统。

  同时集团还拥有很多的重要应用系统,其中包括企业Intranet系统,主要负责业内部信息的Web发布,未来将实现OA系统的全网应用;所属子公司、分支机构的专用网络应用系统,如财务部的金财应用(用友财务软件)等等;集团公司产、运、销系统的远程监控和报告系统;集团公司和分支机构各自的Internet应用系统,包括WWW、Mail等等。运销公司的决策支持系统;各个铁路公司的TMIS等系统;生产调度指挥和视频会议系统。

  通过对集团进行全面的网络评估与调研,得到目前应用的数据流状况如下:

  目前大流量的应用主要集中在局域网内,因此局域网的压力加大;有大部分的应用必须跨广域网,由于应用刚刚起步,因此跨广域网的流量不是特别大,随着信息化建设的进一步深入,广域网潜在的瓶颈将会严重影响应用的普及;网络可靠性措施不够,包括广域网链路备份,主机系统的可靠性也有待加强,应该实现大型应用系统强调的双机热备等冗余措施;数据安全性堪忧,除了金财系统经过金财工程的建设后实现了VPN的隔离以外,大多数的日常办公及生产系统的数据安全有待完善。

  解决之道

  通过以上现状汇总,以及对客户需求的深入了解,威视科技得出了目前技术改进措施。通过对集团网络结构的安全分析,威视科技针对互联网接入区块部署两台防火墙,实现高可靠性(HA),设置DMZ区,放置WEB服务器群、MAIL服务器群、DNS服务器和CISCO CSS11500等对外服务设备。针对集团广域网区块部署一台防火墙控制企业内联网接入块对内部网络关键应用的随意访问,同样也能阻止类似‘冲击波病毒’这样的问题,防止病毒在整个集团网络的扩散。同样可以通过防火墙来实现远程访问等服务的VPN技术。根据该集团网络安全的实际需求,威视科技推荐使用威信的百兆防火墙Visia-F200安全产品。

  威信Visia FireWall-F200防火墙专为具有复杂网络结构及严密安全需求的大中型企业用户而设计,配备6个10/100M自感应端口,采用先进的安全域(Security Zone)概念结构,提供了复杂网络多子网之间的安全控制方案,防火墙上的每个物理网口可以挂接任意多个逻辑子网,通过划分安全级别域和设置访问控制规则来实现各端口、子网、安全域之间的数据包转发,高度集成了防火墙、VPN、入侵检测、带宽管理、防拒绝服务网关、多媒体通信安全、认证授权、内容安全控制、ADSL/ISDN接入安全、高可用性配置能力等众多安全角色,提供高度安全、可信和健壮的安全解决方案。

  防火墙虽然能抵御网络外部安全威胁,但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出及时的响应,就要依靠基于网络的实时入侵监测技术。监控网络上的数据流,从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕过防火墙的攻击。

  为加强核心系统的安全监控,威视科技根据集团网络安全的实际需求,设计使用千兆性能的入侵检测系统,保证应用系统的安全性防护,针对网络安全的动态变化性,在集团网络信息中心的CISCO6509和CISCO6006网络系统中,配置一台威视领信的千兆入侵检测系统 Visia-D2000, 实时监控进出互联网、集团广域网以及局域网重要服务器的网络流量。实现对网络入侵、攻击等非法行为进行实时和集中的监控,同时进行详细的日志记录,为分析安全、检查入侵和追踪入侵等提供重要的数据。

  Visia-D2000的核心检测技术是新一代的协议分析技术。该技术结合了硬件加速信息包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码描述技术来探测攻击。这三大技术构成了Visia-D2000所有解决方案的基础,它显著地提高了入侵检测系统的性能,能够适应高速的千兆网络环境。

  总结:威视科技秉持从客户需求角度出发的理念,以其专业的网络安全整体解决方案的设计、实施能力,及高稳定性的网络安全产品,成功为该集团实施了安全项目,不但为其系统优化升级解除了安全威胁,还确保了集团计算机网络系统运行的高效、稳定。大大提高工作效率,为该集团的发展带来助益。

  以下是该集团安装了防火墙和入侵检测以后的网络简要拓扑图: 

威视科技建设某煤炭公司网络安全案例

相关文章

相关下载

网友评论

我要评论...
    没有更早的评论了
    取消